Las grandes brechas de seguridad son un golpe a la reputación (y a las finanzas en algunos casos) de las corporaciones que las sufren. Un golpe en el momento en que se hacen públicas, pero que En septiembre de 2017, la entidad financiera Equifax anunció que había protagonizado una de las mayores brechas de datos de todos los tiempos. Aunque no fue la más grande – ese título lo gana Yahoo, con la pérdida de datos sobre unos 3 mil millones de cuentas – en la brecha de Equifax los datos de 145 millones de consumidores estadounidenses fueron expuestos, junto con los de millones de personas de otros países.
La empresa, especializada en el análisis de riesgo financiero de empresas y particulares, descubrió la brecha en julio del mismo año, y estimó que venía ocurriendo desde mayo de 2017. Un informe del Gobierno estadounidense acerca de la brecha concluyó que las prácticas de seguridad de Equifax eran insuficientes y que sus sistemas eran anticuados. Además, dejó en evidencia las malas praxis en seguridad IT, ya que medidas básicas como parchear sistemas vulnerables, podrían haber prevenido esta brecha.
Los quebraderos de cabeza contiúan
A pesar de que esta brecha de datos ocurrió hace dos años, Equifax sigue notando los efectos de sus fallos de ciberseguridad. A finales de mayo de este año, la agencia de calificación de riesgo Moody’s rebajó el pronóstico del rating de la empresa, pasándolo de estable a negativo. Moody’s citó un gasto de 690 millones de dólares debido a la brecha en el primer cuatrimestre de 2019 como razón por la rebaja del rating. Sin embargo, éste no es ni mucho menos el único gasto al que ha tenido que enfrentarse la empresa como resultado de la brecha.
En el primer cuatrimestre de este año el gasto total de la empresa relacionados con la brecha se acercó a los 800 millones de dólares, que incluía hasta 12,5 millones de honorarios legales. En total, esta brecha le ha costado a Equifax desde que fue desvelada la friolera de 1.400 millones de dólares. Y previsiblemente esta factura seguirá aumentando.
¿Qué podemos aprender de este caso?
Según un análisis de Panda Security, la empresa cometió múltiples fallos de ciberseguridad, los cuales le llevaron a estos costes astronómicos. El primero fue ignorar un parche de seguridad importante. Un empleado ignoró un parche que se tenía que instalar en Apache Struts, la herramienta de desarrollo de aplicaciones web que utilizaba. Es más, este parche estuvo disponible dos meses antes de la brecha de datos.
La brecha estuvo activa entre mayo y julio de 2017, es decir, tres meses. Con estos datos, está claro que la empresa no era consciente de lo que ocurría en su red, ni tampoco tenía controles adecuados sobre los datos personales que manejaba. Y efectivamente, eso fue una de las conclusiones del informe gubernamental: “Equifax no vio la exfiltración de datos porque el dispositivo utilizado para monitorizar la tráfico de red llevaba inactivo 19 meses debido a un certificado de seguridad caducado.”
